CN106850584B - 一种面向客户/服务器网络的匿名认证方法 - Google Patents

Abstract

本发明公开一种面向客户/服务器网络的匿名认证方法，其特征是存在一个可信中心，一个服务器，一个安全硬件，以及若干个客户端。安全硬件将客户端签名与已存储的以往n‑1个有效签名进行聚合，并将聚合签名发送给指定服务器，只有指定服务器才能验证聚合签名的有效性，进而证明客户端签名的有效性，以此实现客户端的匿名性。本发明能有效的解决现有客户/服务器网络中客户端匿名认证过程中存储代价和计算代价高以及认证效率低的问题，同时提高客户端的隐私性、以及服务器的安全性。

Description

一种面向客户/服务器网络的匿名认证方法

技术领域

本发明涉及数据加密与身份认证技术领域，具体地说是一种面向客户/服务器网络安全实用的匿名认证方法。

背景技术

一般的客户/服务器系统模型主要由两方构成：客户端(即用户)与服务器。用户向服务器请求服务时，服务器需要先确认用户的身份，如果用户身份合法，服务器才会为其提供服务。而在一些客户/服务器(Client/Server)网络应用中用户的身份是私密的，涉及用户的隐私，所以实现身份认证的同时保护用户匿名性至关重要。例如在远程医疗辅助系统或远程医疗查询系统中，一些患有敏感疾病的患者希望在查询或辅助治疗的同时能够保护自身的身份隐私。相关研究中用户的匿名性可以分为两个方面：一方面，请求服务的用户只对网络中其他用户匿名，服务器能够知晓用户身份；另一方面，不仅网络中其他用户不知道请求服务的用户的身份，并且服务器也不知道该用户身份。实际上，在现实生活中多数情况下服务器并不关心用户的身份，而且服务器还存在泄露用户身份信息和相关隐私数据的风险，所以在这些应用中，用户需要对服务器完全匿名，即让服务器不仅无法知道用户的身份而且无法判断两条请求消息是否来自同一用户，实现用户身份的匿名性和请求消息的不可链接性。

匿名认证能够在认证用户身份的同时实现用户匿名性。目前存在一些匿名认证方法，例如基于假名、群签名等技术，能够在认证用户身份的同时保护用户的身份隐私，从而达到匿名性。然而这些方案存在以下不足之处：

(1)基于假名的匿名认证方案：客户端需要存储和维护一个假名池以及与每个假名相关的参数，增加了客户端的存储代价，而客户端的存储能力和计算能力往往较低。此外，每次请求服务均需要消耗掉一个假名。而假名的个数有限，所以需要定期更新假名池。但更新假名池需要消耗大量的系统资源，从而导致该类方案很难应用于大规模的客户/服务器网络中，尤其是大规模的无线移动客户/服务器网络。

(2)基于群签名的匿名认证方案：此类匿名认证方案的计算与通信开销通常与客户/服务器网络中客户端的数量有关，其计算与通信开销随着客户端数量呈线性增长，很难应用于大规模客户/服务器网络，尤其是大规模的无线移动客户端-服务器网络。

发明内容

本发明为了解决上述现有技术存在的不足之处，提供一种高效实用的面向客户/服务器网络的匿名认证方法，以期能有效的解决现有客户/服务器网络中客户端匿名认证过程中存储代价和计算代价高以及认证效率低的问题，同时提高客户端的隐私性、以及服务器的安全性。

本发明为解决技术问题所采用的技术方案是：

本发明一种面向客户/服务器网络的匿名认证方法，所述客户/服务器网络包括：一个可信中心KGC、一个服务器以及若干个客户端，所述可信中心KGC用于生成和管理密钥；记任意一个客户端为U；其特点是，在所述服务器S的网关处设置一个安全硬件SH，并基于所述安全硬件SH按如下步骤进行匿名认证：

步骤1、所述可信中心KGC生成并公布系统参数，同时，生成所有客户端、服务器和安全硬件的私钥和公钥，以及为所述安全硬件SH生成n-1个虚拟客户端的有效签名；

步骤2、所述任意一个客户端U根据所述系统参数、自身的私钥以及所述服务器S的公钥生成签名σ_U；

步骤3、所述客户端U根据密钥协商协议和所述系统参数生成与所述安全硬件SH共享的密钥k，并利用所述密钥k对验证所述签名σ_U所必需的辅助消息C加密，形成密文E_k(C)，并把所述签名σ_U及所述密文E_k(C)发送给所述安全硬件SH；

步骤4、所述安全硬件SH根据所述密钥协商协议和所述系统参数生成与所述客户端U共享的密钥k，并利用所述密钥k对所述密文E_k(C)进行解密，得到所述辅助消息C；

步骤5、所述安全硬件SH将所述签名σ_U和n-1个已存储的有效签名进行聚合，得到聚合签名并结合所述辅助消息C生成最终聚合签名消息M后，发送给所述服务器S；

步骤6、所述服务器S利用自身的私钥以及所述聚合签名消息M对所述聚合签名进行验证；当验证通过时，表示所述客户端U的签名σ_U为有效签名，则所述服务器S根据所述密钥协商协议得到与所述客户端U共享的会话密钥key，并利用所述会话密钥key生成认证码MAC_key及相关消息后发给所述安全硬件SH；

步骤7、所述安全硬件SH转发所述认证码MAC_key及相关消息给所述客户端U；并将所述客户端U的有效签名σ_U覆盖所述n-1个已存储的任意一个有效签名，从而更新所述n-1个已存储的有效签名；

步骤8、所述客户端U根据所述系统参数和所述相关消息得到所述会话密钥key，并利用所述会话密钥key对所述认证码MAC_key进行验证；当验证通过时，进而能利用所述会话密钥key得到所述服务器S的后继服务。

与现有技术相比，本发明具有以下优点：

1.本发明引入了安全硬件，安全硬件将客户端签名与其存储的其他虚拟或已认证过的客户端的有效签名聚合，使得服务器只能验证聚合后的签名；另外客户端将验证其签名的辅助消息先加密后传输，只允许安全硬件SH解密，保证了服务器无法直接验证客户端签名，保护了客户端的身份隐私，实现了匿名性。

2.本发明通过引入安全硬件，能承担客户端的部分运算工作，且客户端不用维护假名池，从而有效的降低了客户端的存储代价和计算开销，客户端签名时只需做少量的加法循环群上的点乘运算，降低了客户端计算开销，进而提高了认证效率。

3.本发明客户端将自身公钥和固定参数先加密后传输，保证客户端每次生成的签名和相关消息都是随机的，无关联的，实现了消息的不可链接性。

4.本发明客户端利用了自身的私钥和服务器的公钥对请求消息进行签名，使得服务器在验证签名的有效性时必须使用相对应的私钥，也即只有指定服务器能够验证签名，加强了系统的安全性。

5.本发明中每个参与方的计算及通信开销与客户端的数量无关，因此特别适宜应用于大规模的客户/服务器网络，尤其是大规模的无线移动客户端-服务器网络。

附图说明

图1为本发明系统模型图。

具体实施方式

如图1所示，本实施例是基于一个可信中心KGC、一个服务器S、一个安全硬件SH以及若干个客户端构成的客户/服务器网络。可信中心KGC：对系统进行初始化，并为各参与方生成和管理密钥；服务器S：为系统中合法用户提供远程服务；安全硬件：部署在服务器的网关处，只执行事先烧制的程序，任何人不能对其进行修改；相当于一个黑盒。客户端一般为终端设备如PC，也可以是移动智能设备如智能手机等，计算和存储能力有限。一种面向客户/服务器网络的匿名认证方法是按如下步骤进行：

步骤1、可信中心KGC生成并公布系统参数，同时，生成所有客户端、服务器和安全硬件的私钥和公钥，以及为安全硬件SH生成n-1个虚拟客户端的有效签名；

1.1)KGC生成系统参数；

1.1.1)为了达到与1024比特RSA相同的安全等级，可信中心KGC选取一个512比特的大素数p＝12ql-1，其中q＝2¹⁵⁹+2¹⁷+1，即160比特的Solinas素数；

1.1.2)选取一个定义在有限域F_p上的超奇异椭圆曲线E/F_p:y²＝x³+x，并在此基础上定义一个Tate配对e:G₁×G₁→G₂。其中G₁、G₂都为q阶的加法循环群；

1.1.3)选择四个安全单向哈希函数 H₄:G₁→G₁；

1.2)KGC选择秘密值并计算Q_KGC＝sP作为公钥。服务器S的公钥为Q_S＝s_SP，安全硬件SH的公钥为Q_SH＝s_SHP；

步骤1.2)中密钥安全性基于离散对数问题(discrete logarithm problem，DLP)，即给定aP,P∈G₁，计算

1.3)客户端U将自己的真实身份ID_U提交给可信中心KGC，经检验合法后，KGC选择随机数并计算Y_U＝y_UP，h_U＝H₁(ID_U,Y_U)，d_U＝y_U+h_Us。KGC通过安全信道将(Y_U,d_U,h_U)传输给客户端，d_U作为部分私钥，Y_U作为部分公钥。安全套接字协议(Secure Sockets Layer，SSL)和传输层安全协议(Transport Layer Security，TLS)可以确保消息在网络中安全的传送，可以使用其中一个来建立安全信道；

1.4)客户端U收到(Y_U,d_U)后，选择随机数计算X_U＝x_UP，(X_U,Y_U)作为公钥、(x_U,d_U)作为私钥。

1.5)可信中心KGC生成安全硬件SH，KGC使用公开的签名算法生成n-1个虚拟客户端的有效签名(σ_j,V_j)(j＝1,...,n-1)及相关消息(X_j,Y_j,h_j,m_j)(j＝1,2,...n-1)交给安全硬件保存，这里n是一个小整数，与客户端的个数无关，例如n＝6。KGC为安全硬件加载聚合客户端签名的算法，并且公开系统参数(G₁,G₂,e,q,P,Q_KGC,Q_S,Q_SH,H₁,H₂,H₃,H₄)。

步骤2、任意一个客户端U根据系统参数、自身的私钥以及服务器S的公钥生成签名σ_U；

客户端U生成请求消息m_U，选择随机数计算Q＝H₄(Q_KGC)。利用式(1)、式(2)和式(3)生成对请求消息m_U的签名：

w_U＝H₂(m_U,X_U,Y_U,Q_KGC) (1)

V_U＝v_UQ_S (2)

σ_U＝(w_Ux_U+d_U+v_U)Q (3)

(σ_U,V_U)即是客户端对请求消息m_U所做的签名。

步骤2中签名的不可伪造性基于计算性Diffie-Hellman问题(computationDiffie-Hellman problem，CDH问题)，即给定aP,bP∈G₁，计算abP∈G₁。在随机预言模型下，以某种不可忽略的概率，攻击者伪造两个有效签名(m_U,σ_U,w_U,V_U),(m_U',σ_U',w_U',V_U)，进而可以得到式(4)

所以，使用(T_U,d_U)，挑战者可以为请求消息m_U任意产生有效的签名(σ_U,w_U,V_U)，其中w_U＝H₂(m_U,X_U,Y_U,Q_KGC),等同于真实签名者使用(x_U,d_U)对m_i进行签名。也即挑战者可以以式(4)解决CDH问题：

所以该方法中签名具有不可伪造性。

步骤3、客户端U根据密钥协商协议和系统参数生成与安全硬件SH共享的密钥k，并利用密钥k对验证签名σ_U所必需的辅助消息C加密，形成密文E_k(C)，并把签名σ_U及密文E_k(C)发送给安全硬件SH；

3.1)客户端U选择随机数利用式(6)、式(7)和式(8)生成与安全硬件共享密钥：

E＝e_UP (6)

E′＝e_UQ_SH (7)

k＝H₃(t_c,E,E') (8)

其中t_c为时间戳，k为客户端与安全硬件共享的密钥；

步骤3.1)中共享密钥k安全基于计算性Diffie-Hellman问题(computationDiffie-Hellman problem，CDH问题)，即给定aP,bP∈G₁，计算abP∈G₁。

3.2)辅助消息C是客户端的公钥和固定参数h_U的集合，C＝(X_U,Y_U,h_U)，使用密钥k加密消息C生成密文E_k(C)，其中E_k(·)是常用的对称加密操作，例如AES。客户端把签名及加密后的相关消息(σ_U,V_U,E_k(C),E,t_c,m_U)发送给安全硬件。

步骤4、安全硬件SH根据密钥协商协议和系统参数生成与客户端U共享的密钥k，并利用密钥k对密文E_k(C)进行解密，得到辅助消息C；

安全硬件SH收到签名及其他相关消息(σ_U,V_U,E_k(C),E,t_c,m_U)后，先检验时间戳t_c，若t_c满足t-t_C≤Δt则通过检验。然后安全硬件利用式(9)(10)获得共享密钥：

E′＝s_SH·E (9)

k＝H₃(t_c,E,E') (10)

SH使用密钥k解密密文E_k(C)，获得辅助信息C＝(X_U,Y_U,h_U)。

步骤5、安全硬件SH将签名σ_U和n-1个已存储的有效签名进行聚合，得到聚合签名结合辅助消息C生成最终聚合签名消息M，并发送给服务器S；

5.1)安全硬件利用式(11)(12)将客户端U的签名(σ_U,V_U)与n-1个已存储的有效签名(σ_j,V_j)(j＝1,2,…,n-1)进行聚合：

(σ,V)即为聚合签名。然后安全硬件计算w_U＝H₂(m_U,X_U,Y_U,Q_KGC)、W_U＝w_UX_U+Y_U+h_UQ_KGC；

5.2)安全硬件SH利用辅助消息C、系统参数以及存储的有效签名消息分别计算式(13)(14)：

w_j＝H₂(m_j,X_j,Y_j,Q_KGC)(j＝1,2,…,n-1) (13)

W_j＝w_jX_j+Y_j+h_jQ_KGC(j＝1,2,…,n-1) (14)

安全硬件将(σ,V,E,W_U,W₁…W_n-1)发送给服务器。

步骤6、服务器S利用自身的私钥以及聚合签名消息M对聚合签名进行验证；当验证通过时，表示客户端U的签名σ_U为有效签名，则服务器S根据密钥协商协议得到与客户端U共享的会话密钥key，并利用会话密钥key生成认证码MAC_key及相关消息后发给安全硬件SH；

6.1)服务器S利用式(15)验证聚合签名：

若验证通过，则服务器为客户端计算会话密钥key；

步骤6.1)中等式(15)的正确性如式(16)所示：

6.2)服务器选择随机数计算R＝rP，利用式(17)计算与客户端U共享的会话密钥key:

key＝rE＝e_urP (17)

服务器利用key生成消息认证码MAC_key，发送(MAC_key,R)给安全硬件。

步骤7、安全硬件SH转发认证码MAC_key及相关消息给客户端U；并将客户端U的有效签名σ_U覆盖n-1个已存储的任意一个有效签名，从而更新n-1个已存储的有效签名；

安全硬件接受(MAC_key,R)后，转发消息(MAC_key,R)给客户端U，并将客户端U的有效签名(σ_U,V_U)覆盖n-1个已存储的有效签名中的任意一个，更新有效签名池，经过一定次数的更新后，安全硬件中存储的签名均为真实用户的有效签名。

步骤8、客户端U根据系统参数和相关消息得到会话密钥key，并利用会话密钥key对认证码MAC_key进行验证；当验证通过时，进而能利用会话密钥key得到服务器S的后继服务。

客户端U接收消息(MAC_key,R)后，根据式(18)计算得到会话密钥key：

key＝e_UR＝e_urP (18)

并利用key验证MAC_key，若验证通过，客户端利用key得到服务器S的相关服务。

步骤8中会话密钥安全性基于离散对数问题(discrete logarithm problem，DLP)，即给定aP,P∈G₁，计算

Claims (1)

1.一种面向客户/服务器网络的匿名认证方法，所述客户/服务器网络包括：一个可信中心KGC、一个服务器以及若干个客户端，所述可信中心KGC用于生成和管理密钥；记任意一个客户端为U；其特征是，在所述服务器S的网关处设置一个安全硬件SH，并基于所述安全硬件SH按如下步骤进行匿名认证：

步骤1、所述可信中心KGC生成并公布系统参数，同时，生成所有客户端、服务器和安全硬件的私钥和公钥，以及为所述安全硬件SH生成n-1个虚拟客户端的有效签名；

步骤2、所述任意一个客户端U根据所述系统参数、自身的私钥以及所述服务器S的公钥生成签名σ_U；

步骤3、所述客户端U根据密钥协商协议和所述系统参数生成与所述安全硬件SH共享的密钥k，并利用所述密钥k对验证所述签名σ_U所必需的辅助消息C加密，形成密文E_k(C)，并把所述签名σ_U及所述密文E_k(C)发送给所述安全硬件SH；

步骤4、所述安全硬件SH根据所述密钥协商协议和所述系统参数生成与所述客户端U共享的密钥k，并利用所述密钥k对所述密文E_k(C)进行解密，得到所述辅助消息C；

步骤5、所述安全硬件SH将所述签名σ_U和n-1个已存储的有效签名进行聚合，得到聚合签名σ_j表示第j个有效签名，并结合所述辅助消息C生成最终聚合签名消息M后，发送给所述服务器S；

步骤6、所述服务器S利用自身的私钥以及所述聚合签名消息M对所述聚合签名进行验证；当验证通过时，表示所述客户端U的签名σ_U为有效签名，则所述服务器S根据所述密钥协商协议得到与所述客户端U共享的会话密钥key，并利用所述会话密钥key生成认证码MAC_key及相关消息后发给所述安全硬件SH；

步骤7、所述安全硬件SH转发所述认证码MAC_key及相关消息给所述客户端U；并将所述客户端U的有效签名σ_U覆盖所述n-1个已存储的任意一个有效签名，从而更新所述n-1个已存储的有效签名；

步骤8、所述客户端U根据所述系统参数和所述相关消息得到所述会话密钥key，并利用所述会话密钥key对所述认证码MAC_key进行验证；当验证通过时，进而能利用所述会话密钥key得到所述服务器S的后继服务。